我们正在努力将我们的Linux服务器configuration为使用LDAP进行身份validation,使用PAM_LDAP + SSSD。 我们的LDAP用户名是基于员工编号(所有数字从1开始)。 这将导致与守护进程,bin,sys …系统帐户冲突。 给我们的用户名模式,什么是最好的select?
在过去,我们使用winbind将我们的RedHat服务器与Active Directory集成,我们切换到使用realmd和sssd。 winbind提供了一个工具wbinfo来查询用户/组属性。 例如wbinfo –uid-info id sssd是否提供了类似的工具? 我安装了sssd-tools,但似乎是添加/删除/修改用户和组的工具集合。 我需要将smbstatus提供的uid转换成用户名
使用adcli将RHEL7计算机join到Windows域时,出现问题: couldn't connect to local.net domain: couldn't authenticate to active directory: SASL( -7): invalid parameter supplied: unable to find a callback: 32775 SSSDconfiguration是好的(和工作箱一样),Kerberosconfiguration是好的(可以是kinit )。 我甚至尝试从AD中删除一个工作箱,并重新添加它:这也工作得很好。
好的,所以我使用Windows Server 2012作为域控制器。 我通过samba连接了两个Centos7客户端到域。 身份validation通过SSH按预期工作; 然而,当试图sudo,帕姆仍然要求密码。 一旦你提供适当的密码,一切工作正常,但我正在寻找一种方法,将避免前面提到的密码请求。 我一直在玩PAM,但没有太多的运气。 /etc/pam.d/sudo: #%PAM-1.0 #auth include system-auth auth required pam_sss.so account include system-auth password include system-auth session optional pam_keyinit.so revoke session required pam_limits.so 将/etc/pam.d/system-auth: #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth [default=1 success=ok] pam_localuser.so […]
如何configurationSSSD将sssd.log日志发送到syslog? 我想包括DEBUB SSSD日志。 我们想将sssd日志提供给Splunk。 我们的系统已经configuration为将系统日志发送到Splunk安全模块。 所以我们想用这个设置,而不是Splunk Forwarder。
我错误地删除了/var/lib/sss/db/config.ldb 。 现在,当我尝试启动SSSD时,出现以下错误: (Wed Nov 23 11:40:36:059914 2016) [sssd] [check_file] (0x0400): lstat for [/var/run/nscd/socket] failed: [2][No such file or directory]. (Wed Nov 23 11:40:36:061661 2016) [sssd] [ldb] (0x0400): ltdb: tdb(/var/lib/sss/db/config.ldb): tdb_open_ex: could not open file /var/lib/sss/db/config.ldb: No such file or directory (Wed Nov 23 11:40:36:061686 2016) [sssd] [ldb] (0x0020): Unable to open tdb '/var/lib/sss/db/config.ldb': No […]
我有SSSD设置LDAP身份validation,我可以通过控制台和SSHlogin很好。 但是,当我尝试通过KDMlogin时,它只是表示身份validation失败…更具体地说: Jan 9 10:29:11 adams20420 sssd[be[default]]: Failed to set LDAP SASL nocanon option to true. If your system is configured to use SASL, LDAP operations might fail. Jan 9 10:29:24 adams20420 kdm: :1[4560]: PAM pam_parse: expecting return value; […sufficeint] Jan 9 10:29:24 adams20420 kdm: :1[4560]: PAM unable to dlopen(/lib64/security/pam_console.so): /lib64/security/pam_console.so: cannot open shared object […]
我正在尝试sssd进行LDAP身份validation,虽然它可以用id命令显示用户ID,但是getent group和getent passwd不显示LDAP名称,虽然我可以将文件分配给ldap用户,但他们是ls -lah 。 有点挖掘,我发现一个提示:当匿名绑定LDAP时可能会发生此问题。 但是当我设置sss时,没有提供绑定DN或密码的选项。 我也无法在手册中find正确的指令。 我在哪里为sss + ldap指定绑定DN和密码? 它进入/etc/sssd/sssd.conf吗? 或另一个文件?
我设法得到sssd工作和getent passwd *username*以及getent group返回AD数据。 我现在面临着在Active Directory中嵌套组的问题。 在AD我有整个部门的超级组。 这个组有成员的用户。 Department group: CN=123 – DepartmentName,OU=departments,OU=SecurityGroups,DC=company,DC=country member CN=Benny Bob,OU=123 – DepartmentName,OU=other,OU=info,DC=company,DC=country member CN=Billy Bob,OU=123 – DepartmentName,OU=other,OU=info,DC=company,DC=country memberOf CN=RepositoryAuthorization,OU=Roles,OU=SecurityGroups,DC=company,DC=country 我也有一些用户,例如: User : CN=Benny Bob,OU=xxx – DepartmentName,OU=other,OU=info,DC=company,DC=country memberOf CN=xxx – DepartmentName,OU=departments,OU=SecurityGroups,DC=company,DC=country (The department group) memberOf CN=ServerAuthorization,OU=Roles,OU=SecurityGroups,DC=company,DC=country 当我打电话getent group | grep ServerAuthorization getent group | grep ServerAuthorization用户(这是直接链接到组)显示正常。 但是,当我打电话getent group | grep […]
我目前正在部署openldap和SSSD进行身份validation。 当我尝试id存储在ldap中的用户时,我得到的响应没有这样的用户。 用户已经正确添加到LDAP,我可以执行ldapsearch -ZZ并find用户。 我已经尝试运行sssd -i -d9,并尝试id用户时得到以下响应: [sssd[nss]] [sss_dp_issue_request] (0x0400): Issuing request for [0x418850:1:ldaptest@LDAP] [sssd[nss]] [sss_dp_get_account_msg] (0x0400): Creating request for [LDAP][4097][1][name=ldaptest] [sssd[nss]] [sbus_add_timeout] (0x2000): 0x22e3960 [sssd[nss]] [sss_dp_internal_get_send] (0x0400): Entering request [0x418850:1:ldaptest@LDAP] [sssd[be[LDAP]]] [sbus_dispatch] (0x4000): dbus conn: 0xcfac90 [sssd[be[LDAP]]] [sbus_dispatch] (0x4000): Dispatching. [sssd[be[LDAP]]] [sbus_message_handler] (0x4000): Received SBUS method [getAccountInfo] [sssd[be[LDAP]]] [sbus_get_sender_id_send] (0x2000): Not a sysbus message, […]